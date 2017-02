Wanneer is het beslissende moment waarop mensen bepalen om te letten op wie er bij het bedrijf naar binnenlopen, wie toegang krijgt tot wat, ze niet meer klikken op links die ze niet kennen en om altijd een wachtwoordmanager te gebruiken om complexe wachtwoorden te maken? Informatiebeveiligers hebben dat moment al gehad, maar hoe krijg je een eindgebruiker daar?

Usb-stick neergelegd

Je kunt mensen (helaas) niet dwingen om dat muntje te laten vallen. Ieder persoon bereikt dat moment door verschillende aanleidingen. Malcolm Gladwell beschrijft in 'Het beslissende moment' uitstekend hoe moeilijk het is om een omslagpunt te bereiken waarop ideeën en sociale bewegingen momentum krijgen en breed omarmd worden. Het is nog veel lastiger om dat beslismoment teweeg te brengen binnen een organisatie om het gedrag van werknemers te beïnvloeden.

Lastig, maar niet onmogelijk. Voorbeeldje: vorige maand was het Data Privacy Day en op die dag kreeg ik een paar mensen op dat beslismoment. Ik begon die dag vroeg en legde een map met gevoelige (nep)informatie neer in een vergaderruimte en een usb-stick met hetzelfde in het printerhok. Daarna stuurde ik een e-mail naar iedereen met de tip op deze dag even deze korte video te bekijken:

Wel net zo belangrijk als het overtuigen van personeel om geen risicovol gedrag te vertonen is het leren dat ze bij een foutje of verdachte gedraging aan de bel trekken:

Daarna wachtte ik af of iemand de spullen zou vinden en er melding van maakte. Tegen lunchtijd had ik nog niets gehoord, dus ik stuurde een e-mail waar ik de punten uit de video benadrukte en zei in de laatste alinea dat er twee privacyschendingen waren te vinden en dat er wellicht een beloning in schuilde als mensen die konden vinden.

Meer dan de eerste aanzet

Daarna werd het leuk. Na ongeveer tien minuten stond een kopijredacteur met de usb-stick bij m'n kantoor. "Heb je hem ergens ingeprikt", vroeg ik? "Natuurlijk niet", zei ze. Ik was blij en gaf haar een cadeaubon van 25 euro. Ze werd meteen gevolgd door twee mannen van marketing die de map 's ochtends in de vergaderruimte hadden gevonden, maar geen tijd hadden gezien om het te melden. Ze kregen een bedankje een een troostprijs.

Maar het mooie was dat daarna twee developers langskwamen die een document op de printer hadden gevonden waar 'vertrouwelijk' op stond. Bingo, dat is wat we zoeken. Op die dag hadden opeens meerdere mensen het daadwerkelijk over beveiliging en werden ze zich daadwerkelijk bewust dat ze verdachte dingen moeten melden, al was het maar om te voorkomen dat dingen intern rondslingeren.

Bouw een bewuste cultuur

Echt schokkend is het allemaal niet en ik weet niet of iemand daadwerkelijk een beslismoment heeft bereikt om het voortaan goed te doen. Ik denk wel dat we vooruitgang hebben geboekt en dat is belangrijk als je aan de slag gaat met security en bewustwording. Plan dit soort dagen. Het hoeft niet eens op een privacy- of verander-je-wachtwoord-dag, het kan een informele activiteit zijn die je regelmatig doet om mensen vaker de ogen te openen wat informatiebeveiliging daadwerkelijk betekent voor de organisatie.

Je zult nooit een risicobewuste cultuur maken met een jaarlijkse training; je bereikt het niet eens als je het per kwartaal doet. Je kunt het beslismoment niet inplannen. Een video kun je niet viral dwingen. Maar als je meerdere momenten pakt om op een andere manier bewustwordingsmomenten op te roepen, heb je een kans dat informatiebeveiliging onderdeel wordt van je bedrijfscultuur.

Dus ik vraag me af: op welke manier bouw jij aan een cultuur die zorgt voor zo'n omslag?